UACME

UACME

通过滥用内置Windows自动挂用后门来击败Windows用户帐户控制。该项目展示了各种UAC旁路技术，并作为了解Windows安全机制的教育资源。

配x警告：该工具显示了可能被恶意剥削的安全漏洞。负责任地使用，仅在受控环境中使用。

系统要求

• 操作系统：Windows 7/8/8.1/10/11（X86-32/X64，客户端，某些方法在服务器版本上也有效）
• 用户帐户：默认设置上的UAC的管理员帐户

用法

使用以下语法从命令行中运行可执行文件：

 akagi32.exe [Method_Number] [Optional_Command]

或者

 akagi64.exe [Method_Number] [Optional_Command]

参数：

• method_number ：与UAC旁路方法相对应的数字（请参见下面的方法列表）
• 可选_command ：通往可执行文件的完整路径，以高架特权运行
  • 如果省略，该程序将启动高架命令提示（％SystemRoot％\\ System32 \\ cmd.exe）

示例：

 akagi32.exe 23
akagi64.exe 61
akagi32.exe 23 c:\\windows\\system32\\calc.exe
akagi64.exe 61 c:\\windows\\system32\\charmap.exe

注意：由于版本3.5.0，因此所有先前“固定”方法都被视为已过时并已删除。如果需要，请使用v3.2.x分支。

重要说明：

• 方法30、63及以后仅在X64版本中实现
• 方法30需要x64，因为它利用了WOW64子系统功能
• 方法55主要用于教育目的，可能不可靠
• 方法78要求当前的用户帐户密码不是空白

警告

配x重要的安全性和使用信息：

• 该工具仅说明了恶意软件使用的公开已知的UAC旁路方法。它以不同的方式重新实现了一些技术来改进原始概念。
• 不打算进行防病毒测试，也不能保证在具有积极安全软件的环境中工作。与主动防病毒软件一起使用。
• 许多防病毒解决方案可能将此工具标记为“ hacktool” – 这是由于其功能而预期的行为。
• 使用后清理：如果在生产系统上运行，请确保以后删除所有程序工件。有关删除到系统文件夹的文件的详细信息，请参见源代码。
• 大多数方法主要是针对X64系统开发的。尽管许多人可以在X86-32上进行少量调整，但32位支持并不是该项目的重点。
• 有关Microsoft的官方说明，请参阅：Microsoft在UAC上的立场，请参见：

Windows 10支持和测试策略

• UACME仅使用LSTB/LTSC变体（1607/1809）和当前RTM-1版本测试
• 例如：如果当前版本是2004，则将在2004年（19041）和前1909年（18363）进行测试
• 内幕构建不受支持，因为方法可以在预览版本中固定

保护措施

对UAC旁路技术的最有效保护是使用没有管理特权的帐户。

建立说明

UACME用C编写，需要Microsoft Visual Studio 2019或更高版本才能从源头构建。

先决条件

• IDE ：Microsoft Visual Studio 2019或2022
• SDK要求：
  • Windows 8.1或Windows 10 SDK（使用19041版本测试）
  • Net Framework SDK（用4.8版测试）

建立步骤

1. 配置平台工具集（Project-> properties-> enstry）：

   • 对于Visual Studio 2019：选择V142
   • 对于视觉工作室2022：选择V143

2. 设置目标平台版本（project-> properties->一般）：

   • 对于V140：选择8.1（必须安装Windows 8.1 SDK）
   • 对于V141及以上：选择10

3. 构建过程：

   • 编译有效载荷单元
   • 编译Naka模块
   • 使用Naka模块加密所有有效载荷单位
   • 使用Naka模块为这些单位生成秘密斑点
   • 将编译的单位和秘密斑点移至Akagi \\ bin目录
   • 重建Akagi

注意：未提供编译的二进制文件，永远不会提供。这是抵制恶意用法的障碍，并有助于维持该项目的教育目的。

法律免责声明

• 此工具仅用于教育和研究目的
• 对于在恶意活动中使用的该工具，我们不承担任何责任
• 使用此代码进行商业活动，我们与任何“安全公司”没有隶属关系
• 此GitHub存储库（HFIREF0X/ UACME ）是UACME代码的唯一真正来源

支持

如果您觉得这个项目很有趣，可以给我买咖啡

BTC（比特币）：BC1QZKVTPA0053CAGF35DQMPVV9K8HYRWL7KRWDZ84Q39MCPY68Y6TMQSJU0G4

参考

• Windows 7 UAC Whitelist，http：//www.pretentiousname.com/misc/win7_uac_whitelist2.html
• 恶意应用程序兼容性Shims，https://www.b**lackh*at.com/docs/eu-15/materials/eu-15-pierce-defending-against-malicious-application-complication-compatibility-compatibility-compatibility-compatibility-shims-wp.pdf.pdf
• winsxs开发团队博客的Junfeng Zhang，https://blogs.ms**dn.m*icrosoft.com/junfeng/
• 超越良好的运行键，系列文章，http：//www.hexacorn.com/blog
• kernelmode.info UACME线程，https://www.**kernelm*ode.info/forum/viewtopicf985.html?f=11&t=3643
• 命令注入/高程 – 重新访问的环境变量，https：//breakingmalware.com/vulnerabilities/command-indoction-and-comption-and-elevation-elevation-eenvironment-variables-revisited
• 使用EventVwr.exe和注册表劫持的“无归档” UAC旁路
• 使用磁盘清理在Windows 10上绕过UAC，https://*enig*ma*0x3.net/2016/07/22/bypassing-uac-uac-on-windows-10——-
• 使用IARPUNINSTALLSTALLSTALLSTALLSTALLSTALLSTALLSTALLSTALLSTALLECOM接口绕过UAC，http://www.**f*reebuf.com/articles/articles/system/116611.html
• 使用应用程序路径绕过UAC，https://eni*gm*a*0x3.net/2017/03/14/bypassing-uac-using-usion-app-paths/
• 使用sdclt.exe，https：//enigma0x3.net/2017/03/17/fileless-uac-bypass-using-sdclt-exe/
• UAC旁路或有关三个升级的故事，https://ha**braha*br.ru/company/pm/blog/328008/
• Exploiting Environment Variables in Scheduled Tasks for UAC Bypass, https://tyranidslair.**b*logspot.ru/2017/05/exploiting-environment-variables-in.html
• First entry: Welcome and fileless UAC bypass, https://w*ins**cripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/
• Reading Your Way Around UAC in 3 parts:
  1. https://tyranidslair.b**logs*pot.ru/2017/05/reading-your-way-around-uac-part-1.html
  2. https://tyranidslair.blo**gspo*t.ru/2017/05/reading-your-way-around-uac-part-2.html
  3. https://tyranidslair.**blo*gspot.ru/2017/05/reading-your-way-around-uac-part-3.html
• Research on CMSTP.exe, https://ms*it*pros.c*om/?p=3960
• UAC bypass via elevated .NET applications, https://offsec.prov*ady**s.com/UAC-bypass-dotnet.html
• UAC Bypass by Mocking Trusted Directories, https://**medium*.com/tenable-techblog/uac-bypass-by-mocking-trusted-directories-24a96675f6e
• Yet another sdclt UAC bypass, http://blog.se*va**gas.com/?Yet-another-sdclt-UAC-bypass
• UAC Bypass via SystemPropertiesAdvanced.exe and DLL Hijacking, https://egre55.g*i*t*hub.io/system-properties-uac-bypass/
• Accessing Access Tokens for UIAccess, https://tyranidslair.b*l*ogs*pot.com/2019/02/accessing-access-tokens-for-uiaccess.html
• Fileless UAC Bypass in Windows Store Binary, https://www.act*i*ve*cyber.us/1/post/2019/03/windows-uac-bypass.html
• Calling Local Windows RPC Servers from .NET, https://googleprojectzero.b*l*og*spot.com/2019/12/calling-local-windows-rpc-servers-from.html
• Microsoft Windows 10 UAC bypass local privilege escalation exploit, https://pa**ck*etstormsecurity.com/files/155927/Microsoft-Windows-10-Local-Privilege-Escalation.html
• UACME 3.5, WD and the ways of mitigation, https://swapcontext.bl*o*gs*pot.com/2020/10/UACME-35-wd-and-ways-of-mitigation.html
• UAC bypasses from COMAutoApprovalList, https://swapcontext.*blogs**pot.com/2020/11/uac-bypasses-from-comautoapprovallist.html
• Utilizing Programmatic Identifiers (ProgIDs) for UAC Bypasses, https://v3ded.*gith**ub.io/redteam/utilizing-programmatic-identifiers-progids-for-uac-bypasses
• MSDT DLL Hijack UAC bypass, https://blog.s*ev**agas.com/?MSDT-DLL-Hijack-UAC-bypass
• UAC bypass through .Net Deserialization vulnerability in eventvwr.exe, https://twi*t*te*r.com/orange_8361/status/1518970259868626944
• Advanced Windows Task Scheduler Playbook – Part.2 from COM to UAC bypass and get SYSTEM directly, http://www.*zc*go*nvh.com/post/Advanced_Windows_Task_Scheduler_Playbook-Part.2_from_COM_to_UAC_bypass_and_get_SYSTEM_dirtectly.html
• Bypassing UAC with SSPI Datagram Contexts, https://splintercod3.b*lo*gs*pot.com/p/bypassing-uac-with-sspi-datagram.html
• Mitigate some Exploits for Windows\’® UAC, https://skanthak.hier-im*-*net*z.de/uacamole.html

作者

(c) 2014 – 2025 UACME Project